ÁP DỤNG TIÊU CHUẨN ISO 15489 VÀO QUẢN LÝ
2.1.2.4. Phân quyền tiếp cận và bảo mật thông tin hồ sơ tài liệu
Quy mô cơ quan, tổ chức càng phức tạp thì môi trường công việc và chế định càng phức tạp và càng có nhu cầu tiêu chuẩn hóa hệ thống thủ tục đối với các loại hình tiếp cận và bảo mật hồ sơ.
Việc xây dựng khung phân loại tiếp cận và bảo mật phù hợp dựa trên phân tích về khung pháp lý, phân tích các chức năng, nhiệm vụ và hoạt động tác nghiệp cũng như đánh giá rủi ro của tổ chức. Việc bảo mật và tiếp cận hợp lý phụ thuộc vào bản chất và quy mô của tổ chức, cũng như nội dung và giá trị của thông tin cần bảo mật. Sự bảo mật thích hợp phải có sự mô tả cấp độ cụ thể và phải nhận được sự nhất trí cao, rằng thông tin đó cần được bảo mật để tránh tiếp cận trái phép, thu thập, sử dụng, tiết lộ, xóa bỏ, thay đổi và/hoặc tiêu hủy. Vì vậy, từ “phù hợp” đối với cơ quan, tổ chức A có thể là một phòng tài liệu được bảo mật, trong khi đó đối với cơ quan, tổ chức B là căn phòng phải được khóa kín, được bảo vệ và có những giới hạn về sự tiếp cận với sự kiểm soát của máy camera… Cũng có thể là việc phân quyền tiếp cận trực tiếp trên hệ thống hồ sơ điện tử, định rõ cán bộ, nhân viên nào có quyền tài khoản được truy cập vào cấp dữ liệu cao hay thấp…
Việc tiếp cận hồ sơ được hạn chế nhằm bảo vệ: - Thông tin cá nhân và riêng tư
- Quyền sở hữu trí tuệ và tính bảo mật trong thương mại - An ninh về tài sản (hữu hình và tài chính)
- An ninh quốc gia,
- Các đặc quyền về luật pháp và lĩnh vực nghề nghiệp khác
Ngoài ra, còn có các quyền tiếp cận có hiệu lực pháp lý liên quan tới điều hành chung, tự do thông tin, bảo vệ đời sống riêng tư và các quy định pháp luật về lưu trữ và quá trình pháp lý. Do đó việc xây dựng các sơ đồ phân loại tiếp cận và bảo mật là rất cần thiết, dựa trên cơ sở xây dựng khung chế định, phân tích hoạt động tác nghiệp và đánh giá rủi ro của tổ chức. Cụ thể:
- Xác định các quyền hợp pháp và các hạn chế trong việc tiếp cận hồ sơ và thông tin của tổ chức;
- Xác định khu vực có nguy cơ rò rỉ thông tin mật của cá nhân, nghề nghiệp hoặc thương mại
- Phân định các khu vực có nguy cơ rò rỉ thông tin bí mật theo dự tính thiệt hại và khả năng xuất hiện;
- Lập bản đồ các khu vực có rủi ro và các vấn đề an ninh liên quan đến hoạt động tác nghiệp của tổ chức;
- Xác định các mức giới hạn thích hợp đối với khu vực từ nhưng nơi có rủi ro cao nhất đến những nơi có rủi ro thấp nhất;
- Kết hợp các giới hạn bằng các công cụ như hệ thống phân loại hoạt động hoặc từ điển từ chuẩn được sử dụng để mô tả hồ sơ. Bằng cách này, các điều kiện cần cân nhắc hoặc các giới hạn có thể sẽ cần phải tự động viện dẫn đến nếu hồ sơ được thu nhận và đăng ký trong hệ thống hồ sơ.
Những người tiếp cận nhóm hồ sơ được phân loại theo khả năng tiếp có thể được xác định và thu nhận trong hệ thống hồ sơ. Chỉ những người dược ủy quyền mới được tiếp cận những hồ sơ đã phân loại theo quy định. Quá trình phân loại tiếp cận hồ sơ này liên quan tới nhiệm vụ quản lý giấy phép sử dụng hệ thống hồ sơ của người sử dụng.
Một hệ thống hồ sơ cần phải quản lý giấy phép sử dụng. Để làm việc này, có thể dựa vào sổ đăng ký nhân viên của cơ quan, tổ chức và giấy phép sử dụng đối với tất các hệ thống trong tổ chức, tuy nhiên nếu không có thủ tục chung về đăng ký giấy phép sử dụng thì phải thiết lập thủ tục đó. Sổ đăng ký giấy phép sử dụng phân biệt giữa các loại giấy phép cho nhân viên để cho họ có quyền dược nghiên cứu hồ sơ. Người sử dụng có thể là nhân viên được giao trách nhiệm tạo lập, sủa đổi và tiêu hủy hồ sơ trong một phạm vi trách nhiệm quy định, nhưng chỉ có khả nnăg tiếp cận chứ không được phép sửa đổi hồ sơ nằm ngoài phạm vi trách nhiệm đó. Tương tự, điều này có thể không thích hợp với tiếp cận sử dụng chung hồ sơ về các hoạt động tác nghiệp nằm ngoài nhóm chức năng cụ thể đó, vì vậy cần phải hạn chế cấp giấy phép sử dụng cho nhân viên không nằm trong nhóm làm việc đó.
Nhiều hệ thống hồ sơ điện tử, đặc biệt những hệ thống có khả năng tiếp cận thông qua hệ thống phân bố về địa lý có thể kế thừa các dạng thức định dạng từ những ứng dụng khác. Với khả năng cho phép tiếp cận qua mạng trong một phạm vi rộng hơn nhiều, việc phân phối và kiểm soát giấy phép sử dụng là một trách nhiệm rất quan trọng, thường phải áp dụng trong hệ thống thông tin hoặc quản lý dữ liệu nhân sự.
Việc xác định quyền hoặc những hạn chế trong việc tiếp cận bao gồm các bước tương tự như việc phân loại hoạt động tác nghiệp. Khung phân loại và tiếp cận đề cập tới.
- Xác định giao dịch hoặc hoạt động tác nghiệp được lập văn bản trong hố sơ - Xác định đơn vị quản lý hồ sơ
- Kiểm tra các phân loại bảo mật và tiếp cận để xác định xem các hoạt động và lĩnh vực công việc đó có các rủi ro hoặc có vấn đề về bảo mật và/hoặc có những giới hạn về pháp lý hay không;
- Ấn định mức tiếp cận hoặc hạn chế thích hợp đối với hệ thống hồ sơ và quy định cơ chế kiểm soát thích hợp đối với việc quản lý;
- Lập hồ sơ về trạng thái bảo mật hoặc tiếp cận của hồ sơ vào hệ thống hồ sơ để thông báo về nhu cầu có các biện pháp kiểm soát bổ sung.
Việc tiếp cận hồ sơ chỉ bị giới hạn ở những nơi có yêu cầu dặc biệt theo nhu cầu của công việc hoặc luật pháp. Các giới hạn có thể được đặt ra trong một khoảng thời gian nhất định để đảm bảo thực hiện cơ chế quản lý, kiểm soát bổ sung cũng như phát huy giá trị cần thiết đối với các tài liệu này.